我使用Tomcat 7,使用APR和DigiCert签名"明星"我的组织证书。我有一个连接器定义如下:
<Connector
protocol="HTTP/1.1"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
SSLCertificateFile="/opt/certs/star.crt"
SSLCertificateKeyFile="/opt/certs/star.key"
SSLCertificateChainFile="/opt/certs/DigiCertCA.crt"
SSLCACertificateFile="/opt/certs/star.pem"
SSLVerifyClient="none" SSLProtocol="all"
keypass="******"
/>
IE和Chrome对我的网站/证书没有任何问题... Firefox虽然提供了此警告,但在线搜索似乎很常见:
The certificate is not trusted because no issuer chain was provided. (Error code: sec_error_unknown_issuer)
另外,当我运行这个openssl命令时:
openssl s_client -connect myorf.org:443 -showcerts
我在输出结尾处收到一条消息:
Verify return code: 21 (unable to verify the first certificate)
显然链条存在一些问题......我只是不知道该怎么解决这个问题。一次搜索提出了回答代码21的答案:
you have a problem with certificate installation and you have to re-install it properly.
但是当我安装我的证书时,他们报告说他们成功了,所以我只是不确定我错过了什么让Firefox开心......请帮忙......?
答案 0 :(得分:1)
请检查DigiCertCA.crt文件,其中包含您获得的所有必要的中间证书,并且也是PEM格式。还要检查apache日志文件是否有错误(可能无法加载证书)。